2. Преамбула и правовые основы

Настоящая Политика устанавливает правила обработки персональных данных в Finoditax, включая сбор, запись, систематизацию, хранение, адаптацию, извлечение, просмотр, использование, раскрытие, сопоставление, ограничение, удаление и уничтожение (art. 4(2) GDPR). Обработка осуществляется на законных основаниях (art. 6), с соблюдением принципов (art. 5), с внедрением мер безопасности (art. 32), реестров (art. 30), DPIA (art. 35–36), уведомлений (art. 33–34), ограничений передачи (гл. V), а также подотчётности (art. 5(2), 24).

3. Определения (art. 4 GDPR)

ТерминОпределение
Персональные данныеИнформация об идентифицированном/идентифицируемом физическом лице (art. 4(1)).
ОбработкаЛюбая операция над данными (art. 4(2)).
КонтролёрОпределяет цели и средства обработки (art. 4(7)).
ОбработчикДействует по поручению контролёра (art. 4(8), 28).
Совместные контролёрыСовместно определяют цели/средства (art. 26).
Нарушение данныхСобытие, повлекшее утрату конфиденциальности/целостности/доступности (art. 4(12)).
DPIAОценка воздействия на защиту данных (art. 35).
ROPAРеестр операций обработки (art. 30).
TOMsТехнические и организационные меры (art. 32).

4. Принципы и законность (art. 5–6)

  • законность, добросовестность, прозрачность;
  • ограниченность целью и минимизация;
  • точность и актуальность;
  • ограниченность сроком хранения;
  • целостность и конфиденциальность;
  • подотчётность контролёра.

Основания: art. 6(1)(a–f); специальные категории — art. 9(2); автоматизация — art. 22.

5. Сфера действия и субдомены

  • finoditax.com — корпоративный сайт (контент, формы, маркетинг, cookies).
  • my.finoditax.com — панель клиента (аккаунты, отчётность, документооборот).
  • billing.finoditax.com — биллинг и платежи (инвойсы, транзакции).
  • support.finoditax.com — тикеты поддержки, SLA, переписка.
  • help.finoditax.com — база знаний, поведенческие метрики.

Потоки данных между субдоменами

Взаимная передача осуществляется по принципу необходимости, сквозная аутентификация ограничена; используется шифрование TLS 1.3 и журналирование. Для кросс‑доменных сценариев выполняется DPIA и минимизация наборов данных.

6. Роли контролёра и обработчика

Finoditax выступает контролёром персональных данных пользователей сайтов и клиентов; обработчиком — при выполнении договоров бухгалтерского/кадрового обслуживания от имени клиентов. Во втором случае действует договор поручения (art. 28), включающий цели, продолжительность, категории данных, TOMs, субобработку, аудит и возврат/удаление данных.

7. Категории и классификация данных

  • Идентификационные: имя, фамилия, фирма, NIP, REGON, KRS, PESEL, подпись.
  • Контактные: адрес, e‑mail, телефон, адрес для корреспонденции.
  • Финансовые/бухгалтерские: реквизиты, инвойсы, VAT/PIT/CIT, ZUS, отчёты.
  • Кадровые (клиентов): договоры, зарплата, отпуска, больничные, счёт сотрудника.
  • Технические: IP, cookies, user‑agent, логи, токены, параметры соединения.
  • Переписка/поддержка: тикеты, письма, записи звонков (при уведомлении).
  • Маркетинг/аналитика: подписки, события, отклики, идентификаторы.

8. Матрица целей и правовых оснований

ЦельКатегории данныхОснование (GDPR)Комментарий
Исполнение договораидентиф., контактные, бухгалтерскиеart. 6(1)(b)создание аккаунта, обслуживание, панель клиента
Юридические обязанностибухгалтерские, налоговые, кадровыеart. 6(1)(c)Ustawa o rachunkowości; Ordynacja podatkowa; ZUS
Законные интересытехнические, перепискаart. 6(1)(f)безопасность, поддержка, доказательство коммуникаций
Маркетингконтактные, аналитикаart. 6(1)(a)/(f)согласие на cookies/рассылки
Безопасностьлог‑данные, IP, токеныart. 6(1)(f), 32журналы, IDS/IPS, расследования инцидентов

9. Источники данных и правовая информация (art. 13–14)

  • прямо от субъекта данных (формы, договоры, панель клиента);
  • от клиентов Finoditax (в рамках поручения по art. 28 для кадровых/бухгалтерских процессов);
  • публичные реестры (KRS, CEIDG, GUS);
  • гос. системы (ePUAP, PUE ZUS, KAS, e‑Deklaracje);
  • автоматически — cookies, логи, SDK, метки в письмах.

Информация по art. 13 предоставляется в момент сбора; по art. 14 — не позднее 30 дней либо при первом контакте, либо при первом раскрытии адресату.

10. Сроки хранения (расширенная таблица)

КатегорияСрокОснование
Бухгалтерские документы5 лет после отчётного годаUstawa o rachunkowości, art. 74
Налоговые записи5 лет после налогового годаOrdynacja podatkowa, art. 70 §1
Кадровые/зарплатные10 летKodeks pracy
Договоры и переписка3 года после окончания обслуживанияart. 6(1)(f), Kodeks cywilny
Маркетинговыедо отзыва/макс. 3 годаart. 6(1)(a)/(f)
Логи безопасностидо 12 мес.art. 6(1)(f)
Резервные копиидо 90 днейart. 5(1)(e)

По истечении сроков применяется безопасное удаление/анонимизация; уничтожение резервных копий — по регламенту хранения.

11. Получатели, обработчики и субобработчики

  • Госорганы: KAS, ZUS, Urząd Skarbowy, суды (на основании закона).
  • ИТ‑провайдеры (хостинг, CDN, почтовые сервисы), банки/платёжные операторы, юридические/аудиторские компании.
  • Аналитические/маркетинговые платформы — только при действующем согласии.
  • Внутренние получатели Finoditax — по принципу минимально необходимого доступа.

Договоры по art. 28(3) GDPR предусматривают: предмет/длительность, цели и характер, категории данных/субъектов, TOMs, субобработку с разрешением, помощь в выполнении прав субъектов (art. 12–23), возврат/удаление, аудит.

12. Международная передача (гл. V GDPR, SCC/DPF)

Передача в третьи страны допускается при: решении об адекватности (art. 45), соответствующих гарантиях (SCC — art. 46) либо при исключениях (art. 49). Для США — участие поставщика в EU–US Data Privacy Framework и/или SCC, с минимизацией данных и криптографической защитой.

13. TOMs: технические и организационные меры (art. 32)

  • Шифрование TLS 1.3 при передаче; AES‑256 «в покое»; управление ключами.
  • Многофакторная аутентификация, RBAC, принцип наименьших привилегий.
  • Журналирование действий (≥ 12 мес.), контроль целостности логов.
  • IDS/IPS, антивирус, CSP; защита от XSS/CSRF/SQLi; изоляция сред.
  • Резервное копирование (до 90 дней), регулярные тесты восстановления.
  • Обучение персонала, NDA, политика паролей, симуляции фишинга.

14. Cookies, аналитика и маркетинг — расширенная таблица

Согласие на cookies запрашивается баннером (art. 173–174 Prawo telekomunikacyjne). Управление категориями доступно в «Настройках cookies».

КатегорияНазначениеПримерыСрокОснование
Необходимыесессии, безопасность, авторизацияsession_id, XSRF-TOKENсессияart. 6(1)(b)/(f)
Функциональныенастройки интерфейсаui_theme, localeдо 12 мес.art. 6(1)(f)
Аналитическиеметрики, конверсии_ga, _ga_*, _gidдо 24 мес.art. 6(1)(a)
Маркетинговыеремаркетинг, эффективность реклам_fbp, _gcl_auдо 180 днейart. 6(1)(a)

15. Процедуры DSAR (права субъектов данных)

  1. Подача запроса: e‑mail info@finoditax.com или почта (ul. Kawia 23, 42‑202 Częstochowa).
  2. Верификация личности: уточнение данных/методов связи.
  3. Срок ответа: 30 дней; продление до 60 при сложности (art. 12(3)).
  4. Форма предоставления: электронная/письменная, машинно‑читаемая (при переносимости).
  5. Отказ/ограничение: при правовых препятствиях с уведомлением и правом жалобы в UODO.

Доступ: art. 15; исправление: art. 16; удаление: art. 17; ограничение: art. 18; переносимость: art. 20; возражение: art. 21; автоматизация: art. 22 (не применяется).

16. Инциденты, 72‑часовое уведомление, реестр

  • Фиксация и изоляция инцидента; оценка риска и масштабов.
  • Уведомление UODO ≤ 72 часов (art. 33); уведомление субъектов при высоком риске (art. 34).
  • Устранение причин, профилактика, обучение, обновление TOMs.
  • Ведение регистра нарушений (Breach Register) и отчётности.

17. DPIA/ROPA и подотчётность

Finoditax ведёт ROPA (art. 30), проводит DPIA (art. 35) для процессов с высоким риском (масштабная обработка, кросс‑доменные интеграции, данные сотрудников клиентов), документирует риски, меры и остаточный риск; при необходимости консультируется с UODO (art. 36). Подотчётность — art. 5(2), 24.

18. Изменения, коллизии, приоритеты

Новая редакция вступает в силу с публикации. При коллизиях приоритет имеет положение, обеспечивающее большую защиту субъекта данных. Недействительность отдельного положения не влияет на действительность остального документа (severability).

19. Контакты и надзорный орган

Finoditax Sp. z o.o. · ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com · finoditax.com

UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa · +48 22 531 03 00 · uodo.gov.pl